← На главную

Мейнтейнер AUR заразил 408+ пакетов через npm-пакет с eBPF rootkit

12.06.2026 05:59 · hackernews

Новый мейнтейнер AUR, выдававший себя за доверенного, принял и заразил 408+ пакетов. Другие мейнтейнеры уже работают над удалением заражённых пакетов. В каждый пакет добавили preinstall-скрипт, который через npm устанавливал пакет atomic-lockfile — вредоносную нагрузку. В блоге Ioctl есть детальный разбор атаки.

Если вы не используете Arch (btw), можете не волноваться. Пользователям Arch: проверьте список затронутых пакетов и запустите скрипт для оценки — ссылка в статье. Изучите индикаторы компрометации из блога Ioctl; если найдёте, сохраните систему для форензики. Дальше — стандартная процедура: сменить все пароли и рассмотреть переустановку Arch. Из-за возможного rootkit системе доверять уже нельзя.

Большинство заражённых пакетов редкие, но масштаб атаки серьёзный. Примечательно, что цепочка поставок дошла до eBPF rootkit в дополнение к infostealer-поведению. Вредоносный NPM-пакет atomic-lockfile (по данным Socket.dev) набрал 134 скачивания. Его поддерживает пользователь herbsobering. Поиск этого имени на GitHub показывает единственный контейнер — похоже, reverse shell или прокси-инструмент.

Читать оригинал →